SlideShare a Scribd company logo

Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych

PwC Polska
PwC Polska

Prezentacja ze spotkania DPO Talks - warsztatów dla osób pełniących funkcję Inspektora Ochrony Danych oraz zajmujących się ochroną danych osobowych w firmach.

Business
1 of 33
DPO Talks: Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych Prezentacja PwC 24.01.2019
PwC Agenda 1. Naruszenia ochrony danych osobowych: praktyka po 25 maja 2. Naruszenia ochrony danych osobowych: perspektywa cyberbezpieczeństwa 3. Naruszenia ochrony danych osobowych: perspektywa prawna
Naruszenia ochrony danych osobowych: praktyka po 25 maja
PwC Przykłady naruszeń od naszych Klientów
Naruszenia ochrony danych osobowych: perspektywa cyberbezpieczeństwa
PwC Jak dowiedzieć się o wycieku danych, zanim wszyscy dowiedzą się o nim z Internetu? 6 Security Operations Center Compromise Discovery Breach plan Incident response
Security Operations Center (SOC) Ongoing oprations & improvements Incident Detection Anomaly based detection Rule based detection Human reported incidents Alert analysis and triage Incident response and investigations Incident response Internal Investigations Fraud Monitoring Forensic Analysis Response orchestration & automation Attack Surface Management Compliance testing Vulnerability Management Redteaming & Penetration Testing Application security tests Awareness and reporting Digital Brand Protection Social media/Internet monitoring Phishing Analysis Brand Monitoring Platform engineering Platforms operation, troubleshooting and Change Management Security architecture and configuration improvement System integration, assets onboarding Cyber Intelligence and Hunt Team Services Malware and threat analysis Threat intelligence Threat hunting
PwC Pytania do SOC w kontekście RODO 8 1. Czy SOC dysponuje scenariuszami nakierowanymi na wykrywanie wycieków danych osobowych? 2. Czy procedury reakcji uwzględniają wymagania RODO w zakresie powiadamiania o wycieku? 3. Czy personel SOC jest przeszkolony w zakresie RODO?
PwC Wykrywanie naruszeń / potencjalnych wycieków 9 Breach discovery • Przeszukanie środowiska informatycznego w poszukiwaniu śladów aktywnego lub przeszłego włamania/wycieku danych • Nie wymaga instalacji oprogramowania • Wykonywane jednorazowo lub cyklicznie 5 Threat Hunting 4 Breach Discovery 3 Cyber Crisis Simulation 2 Incident Response Plan 6 Incident Response 1 Cyber risk profile, key threats and critical assets
PwC Reakcja na incydent 10 Reakcja na incydent • Załatanie luk bezpieczeństwa • Ustalenie rzeczywistej skali wycieku • Transformacja danych dla celów powiadomień • Wymaga zaplanowania 5 Threat Hunting 4 Breach Discovery 3 Cyber Crisis Simulation 2 Incident Response Plan 6 Incident Response 1 Cyber risk profile, key threats and critical assets
PwC Zaplanowanie odpowiedzi na wyciek 11 Przygotowanie planu działania na wypadek wycieku • Zaplanowanie dostępności zasobów (decydenci, prawnicy, PR, IT, IT Security, zasoby zewnętrzne) • Przygotowanie ogólnych schematów/scenariuszy postępowania 5 Threat Hunting 4 Breach Discovery 3 Cyber Crisis Simulation 2 Incident Response Plan 6 Incident Response 1 Cyber risk profile, key threats and critical assets
Naruszenia ochrony danych osobowych: perspektywa prawna
PwC Definicja naruszenia ochrony danych osobowych 13 Art. 4 pkt 12 RODO „Naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem: • Zniszczenia • Utracenia • Zmodyfikowania • Nieuprawnionego ujawnienia lub nieuprawnionego dostępu • Do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych „Zniszczenie” oznacza, że dane już nie istnieją lub przestały istnieć w postaci, w której administrator mógłby je w jakikolwiek sposób wykorzystać Przykłady: • Zalanie serwerowni i dysków twardych na serwerach w wyniku czego doszło do spalenia serwera • Zgranie na pendrive jedynej kopii bazy kontaktów marketingowych i wyrzucenie nośnika do śmieci przy sprzątaniu biurka • Przypadkowe usunięcie danych z jedynej kopii danych „Utracenie” oznacza, że dane mogą nadal istnieć, ale administrator utracił nad nimi kontrolę, nie posiada już do nich dostępu lub nie znajduje się już w ich posiadaniu. Przykłady: • Zgubienie przez pracownika lub kradzież urządzenia, na którym przechowywana jest kopia bazy danych klientów administratora. • Jedyna kopia zbioru danych osobowych została zaszyfrowana wskutek zastosowania oprogramowania typu ransomware, lub sytuacja, w której administrator zaszyfrował dane za pomocą klucza, który nie znajduje się już w jego posiadaniu. • Nieuprawnione ujawnienie lub nieuprawniony dostęp do danych Przykłady: • Ujawnienie (lub udostępnienie) danych osobowych odbiorcom, którzy nie są upoważnieni do ich otrzymania • Przekazanie danych podwykonawcy bez zawartej umowy powierzenia w wyniku błędu pracownika • Wysłanie niezaszyfrowanej wiadomości poza organizację z listą pracowników zgłoszonych do ubezpieczenia zdrowotnego do niewłaściwego adresata
PwC Klasyfikacja naruszeń 14 Opinia WP29 03/2014 na temat powiadamiania o przypadkach naruszenia Naruszenie może skutkować wystąpieniem jednej, dwóch lub trzech okoliczności jednocześnie
PwC Klasyfikacja naruszeń 15 Przykłady naruszenia poufności danych • Przykład I: Przypadkowe wysłanie danych osobowych klienta do osoby trzeciej. • Przykład II: Pozostawienie niezaszyfrowanego laptopa, telefonu komórkowego lub nośnika zawierającego dane w kawiarni. • Przykład III: Wysłanie wiadomości email do klienta zawierającej adresy email pozostałych klientów w „DW”. Opinia WP29 03/2014 na temat powiadamiania o przypadkach naruszenia Naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie
PwC Klasyfikacja naruszeń 16 Przykłady naruszenia dostępności danych • Przykład I: Pracownik przypadkowo, lub osoba nieupoważniona celowo, usuwa dane ze zbioru. ADO próbuje odzyskać dane z kopii zapasowej, jednak jego działania nie przynoszą rezultatu. • Przykład II: Kopia zbioru danych osobowych została zaszyfrowana przez oprogramowanie typu ransomware • Przykład III: Kopia zbioru danych została zaszyfrowana przy użyciu klucza, który nie jest już w posiadaniu ADO • Brak możliwości zalogowania do systemu do przechowywania dokumentacji medycznej w szpitalu przez 8h Opinia WP29 03/2014 na temat powiadamiania o przypadkach naruszenia Naruszenie dostępności – polega na trwałej lub czasowej utracie lub zniszczeniu danych osobowych;
PwC Klasyfikacja naruszeń 17 Przykłady naruszenia integralności danych • Przykład I: W wyniku działań nieporządnego oprogramowania w wielu rekordach znajdują błędy w adresach klientów, informacjach o posiadanych produktach (np. bankowych czy ubezpieczeniowych) • Przykład II: Dane dwóch klientów zostały scalone w wyniku błędu systemu. • Przykład III: Pracownik dla żartu zmienia nazwiska klientów poprzez dopisanie litery „s” na końcu każdego z nich. Opinia WP29 03/2014 na temat powiadamiania o przypadkach naruszenia Naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany Źródło: https://www.biznes.gov.pl/pl/firma/sprzedaz-i-marketing/chce-sprzedawac- przez-internet/proc_889-naruszenie-danych-osobowych
PwC Stwierdzenie naruszenia 18 Zgłaszanie naruszenia organowi nadzorczemu (art. 33): • Niezwłocznie, nie później niż w ciągu 72h od stwierdzenia naruszenia, chyba, że ryzyko naruszenia praw lub wolności jest mało prawdopodobne • Standard rynkowy: procesor ma 24h na zawiadomienie ADO Kiedy możemy powiedzieć, że naruszenie zostało „stwierdzone”?
PwC Stwierdzenie naruszenia 19 Zgłaszanie naruszenia organowi nadzorczemu (art. 33): Wstępna ocena czy mamy do czynienia z danymi osobowymi • osoby zmarłe • brak zautomatyzowanego przetwarzania i brak zbioru danych • osoby prawne 72 h STWIERDZENIE Informacja o możliwości wystąpienia naruszenia (od pracownika, komunikat z anti-APT lub SIEM, od podmiotu przetwarzająceg, informacja od osoby trzeciej) Zebranie informacji z odpowiednich jednostek Ocena zebranych informacji w celu stwierdzenia naruszenia Podjęcie decyzji przez wyznaczoną jednostkę(i) czy doszło do naruszenia. Konsultacje z innymi jednostkami. Ocena ryzyka naruszenia praw i wolności Przygotowanie zgłoszenia Zgłoszenie Co to znaczy, że naruszenie zostało „stwierdzone”?
PwC Stwierdzenie naruszenia 20 Przykładowe postanowienie procedury zgłaszania naruszeń: „Zgłoszenia do UODO dokonuje IOD w terminie 72 h od wykrycia naruszenia” Przykładowe postanowienie procedury reakcji na incydenty: „Bieg terminu 72 godzin, o którym mowa w art. 33 RODO, liczony jest od daty wskazanej przez Biuro IOD jako daty stwierdzenia Naruszenia. Za stwierdzenie Naruszenia uznaje się moment, w którym uzyskano wystarczającą ilość informacji, aby jednoznacznie stwierdzić, że doszło do wystąpienia zdarzenia, które skutkowało powstaniem Naruszenia ochrony danych osobowych.”
PwC Kiedy zgłaszać naruszenie do organu? 21 Ocenę naruszenia dokonuje się z punktu widzenia ryzyka naruszenia praw lub wolności osób fizycznych. Art. 33 ust. 1 RODO: W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zawiadamianie podmiotów danych (art. 34): • Jeżeli naruszenie ochrony danych powoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych, • Zawiadomienie powinno jasnym i prostym językiem zawierać te same informacje, co dostarczane organowi nadzorczemu, • Zawiadomienie nie jest konieczne jeżeli: o Wdrożone zostały odpowiednie techniczne i organizacyjne środki ochrony – SZYFROWANIE! o Administrator podjął środki eliminujące prawdopodobieństwo dużego zagrożenia dla praw i wolności osoby, o Wymagałoby ono niewspółmiernie dużego wysiłku – 1.000.000 maili to nie jest duży wysiłek!
PwC Kiedy zgłaszać naruszenie do organu? 22 Co brać pod uwagę przy ocenie ryzyka naruszenia praw i wolności? Motyw 76 RODO: Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko. Narzędzie PwC pozwala ocenić ryzyko z uwzględnieniem zarówno powagi, jak i prawdopodobieństwa naruszenia praw lub wolności osób, których dane dotyczą. Zalecenia ENISA dotyczące metodyki oceny ciężar naruszenia ochrony danych osobowych. ENISA czyli: Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji
PwC Metodyka oceny Ocenę powagi naruszenia przeprowadza się w oparciu o trzy kryteria: 1. Kontekst Przetwarzania Danych (KPD) - KPD stanowi rdzeń metodyki i ocenia krytyczność danego zbioru danych w konkretnym kontekście przetwarzania. 2. Łatwość Identyfikacji (ŁI) jest czynnikiem korygującym KPD. Ogólna krytyczność przetwarzania danych może zostać zmniejszona w zależności od wartości ŁI. Innymi słowy, im niższa łatwość identyfikacji, tym niższa jest ogólna ocena. Dlatego kombinacja ŁI i KPD (poprzez mnożenie) daje początkową ocenę i (OC) naruszenia danych. 3. Okoliczności Naruszenia (ON): ON określa ilościowo konkretne okoliczności naruszenia, które mogą, ale nie muszą występować w danej sytuacji. Gdy okoliczności te występują, ON może zwiększyć ciężar określonego naruszenia. Z tego powodu początkowa ocena może być dodatkowo skorygowana przez DPO. Okoliczności bada się z punktu widzenia utraty poufności, integralności i dostępności danych oraz złej intencji.
PwC Metodyka oceny 1. Kontekst Przetwarzania Danych (KPD) a) Dane zwykłe (np. imię i nazwisko, dane kontaktowe (teleadresowe), dane dotyczące wykształcenia, życia rodzinnego, doświadczenia zawodowego itp.) b) Dane behawioralne (np. dane geolokalizacyjne (dane GPS), dane dotyczące osobistych preferencji i nawyków itp.) c) Dane finansowe (np. dane dotyczące dochodu, transakcji finansowych, wyciągi bankowe, inwestycje, karty kredytowe, faktury, dane dotyczące opieki społecznej związane z informacjami finansowymi.) d) Dane wrażliwe (stan zdrowia, przynależność partyjna, dane biometryczne)
PwC Metodyka oceny 2. Łatwość Identyfikacji (ŁI) a) Identyfikacja na podstawie danych ograniczona. Identyfikacja jest utrudniona i wymaga zaistnienia dodatkowych okoliczności. Przykład: Nieuprawniony dostęp do adresów email. b) Identyfikacja na podstawie danych ograniczona. Identyfikacja jest utrudniona i może wymagać zaistnienia dodatkowych okoliczności. Przykład: Naruszenie dotyczy danych z formularzy kontaktowych. c) Identyfikacja prawdopodobna. Identyfikacja może być możliwa wyłącznie w oparciu o dane będące przedmiotem naruszenia. Przykład: Nieuprawniony dostęp do nagrania z infolinii. d) Identyfikacja możliwa bezpośrednio na podstawie danych. Dane będące przedmiotem naruszenia w sposób pewny umożliwiają identyfikację osoby. Identyfikacja jest możliwa wyłącznie w oparciu o dane będące przedmiotem naruszenia. Przykład: Wyciek informacji zawartych w umowie.
PwC Metodyka oceny 3. Okoliczności Naruszenia a) Utrata poufności danych. Przykład I: Zgubienie plików, nośników podczas transportu. Przykład II: Sprzedaż nośnika zawierającego dane. b) Utrata integralności danych. Przykład I: Dane zostały przypadkowo, nieprawidłowo zmienione, jednak ich pierwotna wersja została zachowana. Przykład I: Dane zostały przypadkowo, nieprawidłowo zmienione, a ich pierwotna wersja nie została zachowana. c) Utrata dostępności danych. Utrata dostępności z możliwością przywrócenia dostępności / Tymczasowa utrata dostępności / Całkowita i nieodwracalna utrata dostępności. d) Zła intencja. Przykład I: Pracownik sprzedaje dane klientów drugiej spółce. Przykład II: Zakład ubezpieczeń stał się ofiarą ataku hakerskiego, w ramach którego doszło do kradzieży danych osobowych klientów.
PwC Metodyka oceny 27 Powaga naruszenia uwzględniająca Kontekst przetwarzania, Łatwość identyfikacji i Okoliczności naruszenia, kalkulowana jest zgodnie ze wzorem: Prawdopodobieństwo naruszenia praw lub wolności osób, których dane dotyczą jest oceniane z perspektywy trzech atrybutów bezpieczeństwa danych osobowych (art. 32 RODO): utraty poufności; utraty integralności, utraty dostępności. Skala powagi, będąca wynikiem powyższej kalkulacji (w zależności od zebranych punktów oceny): Niska Średnia Wysoka Bardzo wysoka PO = KPD x ŁI + ON
PwC Metodyka oceny 28 Prawdopodobieństwo naruszenia praw lub wolności osób, których dane dotyczą jest oceniane z perspektywy trzech atrybutów bezpieczeństwa danych osobowych (art. 32 RODO): c. utraty dostępności. • Przykład NISKIEGO prawdopodobieństwa: Dane osobowe nie są wykorzystywane do działań Banku, które mogą wywoływać skutki dla podmiotów danych (np. przetwarzanie danych wyłącznie w celach archiwalnych). • Przykład BARDZO WYSOKIEGO prawdopodobieństwa: Przypadek, w którym nie jest możliwe odtworzenie lub ponowne zebranie danych osobowych, które są wykorzystywane w ramach procesów wpływających lub mogących wpływać na sytuację podmiotu danych. Skala prawdopodobieństwa, będąca wynikiem powyższej kalkulacji (w zależności od zebranych punktów oceny): Niska Średnia Wysoka Bardzo wysoka PR = max (UP, UI, UD) W ramach końcowej oceny prawdopodobieństwa (PR) odzwierciedlanej na mapie ryzyka pod uwagę brana jest najwyższa wartość prawdopodobieństwa naruszenia praw lub wolności osób, których dane dotyczą.
PwC Metodyka oceny ryzyka naruszenia praw lub wolności 29 Powaga Niska Średnia Wysoka Bardzo wysoka Prawdopodobieństwo Niskie N N N N Średnie N Ś Ś Ś Wysokie N Ś W W Bardzo wysokie N Ś W W
PwC 30 Zawiadomienie administratora w sytuacji gdy jesteśmy procesorem. Jak działać?
PwC Zgłaszanie naruszenia ochrony danych osobowych organowi od strony formalnej 31 Zgłoszenia naruszenia organowi nadzorczemu (art. 33) można dokonać na cztery sposoby: • Elektronicznie poprzez wysłanie wypełnionego formularza (dostępnego na stronie urzędu) za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl • Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP • Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza dostępnego w załączniku. • Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu. Źródło: https://uodo.gov.pl/pl/134/233 Opisywać charakter naruszenia Zawierać dane kontaktowe osoby, od której można uzyskać więcej informacji o naruszeniu Opisywać możliwe konsekwencje naruszenia Opisywać środki zaradcze Zgłoszenie musi:
PwC Zgłaszanie naruszenia ochrony danych osobowych organowi 32 REJESTR NARUSZEŃ – art. 33 ust. 5 RODO Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym: • okoliczności naruszenia ochrony danych osobowych • jego skutki • podjęte działania zaradcze Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu. Naruszenia ochrony danych wymagające zgłoszenia do UODO - art. 33 Naruszenia ochrony danych wymagające zawiadomienia podmiotów danych – art. 34 Naruszenia ochrony danych wymagające zgłoszenia do UODO - art. 33
PwC Dziękujemy za uwagę Szymon Sobczyk Starszy Menedżer Szymon.Sobczyk@pwc.com Arwid Mednis Partner Arwid.Mednis@pwc.com Marian Giersz Adwokat Marian.Giersz@pwc.com© 2019 PwC Advisory spółka z ograniczoną odpowiedzialnością sp.k. (dawniej: PwC Polska sp. z o.o.) Wszystkie prawa zastrzeżone. W tym dokumencie nazwa "PwC" odnosi się do PwC Advisory spółka z ograniczoną odpowiedzialnością sp.k. (dawniej: PwC Polska sp. z o.o.), firmy wchodzącej w skład sieci PricewaterhouseCoopers International Limited, z których każda stanowi odrębny i niezależny podmiot prawny.

Recommended

2.4
2.42.4
2.4Szymon Konkol - Publikacje Cyfrowe
 
Zdrowy styl życia
Zdrowy styl życiaZdrowy styl życia
Zdrowy styl życiaAnna Nowak
 
Захист гідності, честі та ділової репутації: практика Верховного Суду
Захист гідності, честі та ділової репутації: практика Верховного СудуЗахист гідності, честі та ділової репутації: практика Верховного Суду
Захист гідності, честі та ділової репутації: практика Верховного СудуPravotv
 
Iсторія винекнення ліфта
Iсторія винекнення ліфтаIсторія винекнення ліфта
Iсторія винекнення ліфтаLLNegoy
 
Нестатеве розмноження.
Нестатеве розмноження.Нестатеве розмноження.
Нестатеве розмноження.Валентина Леонтьева
 
Надзвичайні ситуації.
Надзвичайні ситуації.Надзвичайні ситуації.
Надзвичайні ситуації.sh75inf
 
Zwroty po angielsku
Zwroty po angielskuZwroty po angielsku
Zwroty po angielskuPaweł Konior
 
Fizyka 7-klas-helfhat-zbirnyk-zadach
Fizyka 7-klas-helfhat-zbirnyk-zadachFizyka 7-klas-helfhat-zbirnyk-zadach
Fizyka 7-klas-helfhat-zbirnyk-zadachkreidaros1
 

Recommended

2.4
2.42.4
2.4Szymon Konkol - Publikacje Cyfrowe
 
Zdrowy styl życia
Zdrowy styl życiaZdrowy styl życia
Zdrowy styl życiaAnna Nowak
 
Захист гідності, честі та ділової репутації: практика Верховного Суду
Захист гідності, честі та ділової репутації: практика Верховного СудуЗахист гідності, честі та ділової репутації: практика Верховного Суду
Захист гідності, честі та ділової репутації: практика Верховного СудуPravotv
 
Iсторія винекнення ліфта
Iсторія винекнення ліфтаIсторія винекнення ліфта
Iсторія винекнення ліфтаLLNegoy
 
Нестатеве розмноження.
Нестатеве розмноження.Нестатеве розмноження.
Нестатеве розмноження.Валентина Леонтьева
 
Надзвичайні ситуації.
Надзвичайні ситуації.Надзвичайні ситуації.
Надзвичайні ситуації.sh75inf
 
Zwroty po angielsku
Zwroty po angielskuZwroty po angielsku
Zwroty po angielskuPaweł Konior
 
Fizyka 7-klas-helfhat-zbirnyk-zadach
Fizyka 7-klas-helfhat-zbirnyk-zadachFizyka 7-klas-helfhat-zbirnyk-zadach
Fizyka 7-klas-helfhat-zbirnyk-zadachkreidaros1
 
Pilecki prezentacja
Pilecki prezentacjaPilecki prezentacja
Pilecki prezentacjamonzam
 
Prezentacja zdrowy styl życia
Prezentacja zdrowy styl życiaPrezentacja zdrowy styl życia
Prezentacja zdrowy styl życiagimnieb
 
значення географічної науки в наші дні
значення географічної науки в наші днізначення географічної науки в наші дні
значення географічної науки в наші дніВікторія Тихомирова
 
Stres
StresStres
Stresabre
 
Види договорів в торгівлі загальні поняття та їх структура
Види договорів в торгівлі загальні поняття та їх структураВиди договорів в торгівлі загальні поняття та їх структура
Види договорів в торгівлі загальні поняття та їх структураArtem352
 
Дослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptx
Дослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptxДослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptx
Дослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptxOlegovna
 
Prezentacja quo vadis
Prezentacja quo vadisPrezentacja quo vadis
Prezentacja quo vadisdziejba
 
Henryk sienkiewicz i jego twórczość
Henryk sienkiewicz i jego twórczośćHenryk sienkiewicz i jego twórczość
Henryk sienkiewicz i jego twórczośćfifo001
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.Tomasz Janas
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIAPwC Polska
 
4
44
4Szymon Konkol - Publikacje Cyfrowe
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejCyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejMicrosoft Polska
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowSzymon Konkol - Publikacje Cyfrowe
 
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychMonitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychAgata Maron
 
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...Stowarzyszenie Jakości Systemów Informatycznych (SJSI)
 
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychPodatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychstudenckifestiwalinformatyczny
 
Rodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaRodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaSzymon Konkol - Publikacje Cyfrowe
 
Canon - bezpieczeństwo danych
Canon - bezpieczeństwo danychCanon - bezpieczeństwo danych
Canon - bezpieczeństwo danychCanon Biznes
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
 
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...ecommerce poland expo
 

More Related Content

What's hot

Pilecki prezentacja
Pilecki prezentacjaPilecki prezentacja
Pilecki prezentacjamonzam
 
Prezentacja zdrowy styl życia
Prezentacja zdrowy styl życiaPrezentacja zdrowy styl życia
Prezentacja zdrowy styl życiagimnieb
 
значення географічної науки в наші дні
значення географічної науки в наші днізначення географічної науки в наші дні
значення географічної науки в наші дніВікторія Тихомирова
 
Stres
StresStres
Stresabre
 
Види договорів в торгівлі загальні поняття та їх структура
Види договорів в торгівлі загальні поняття та їх структураВиди договорів в торгівлі загальні поняття та їх структура
Види договорів в торгівлі загальні поняття та їх структураArtem352
 
Дослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptx
Дослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptxДослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptx
Дослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptxOlegovna
 
Prezentacja quo vadis
Prezentacja quo vadisPrezentacja quo vadis
Prezentacja quo vadisdziejba
 
Henryk sienkiewicz i jego twórczość
Henryk sienkiewicz i jego twórczośćHenryk sienkiewicz i jego twórczość
Henryk sienkiewicz i jego twórczośćfifo001
 

What's hot (8)

Pilecki prezentacja
Pilecki prezentacjaPilecki prezentacja
Pilecki prezentacja
 
Prezentacja zdrowy styl życia
Prezentacja zdrowy styl życiaPrezentacja zdrowy styl życia
Prezentacja zdrowy styl życia
 
значення географічної науки в наші дні
значення географічної науки в наші днізначення географічної науки в наші дні
значення географічної науки в наші дні
 
Stres
StresStres
Stres
 
Види договорів в торгівлі загальні поняття та їх структура
Види договорів в торгівлі загальні поняття та їх структураВиди договорів в торгівлі загальні поняття та їх структура
Види договорів в торгівлі загальні поняття та їх структура
 
Дослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptx
Дослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptxДослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptx
Дослідження звязку між чисельністю одомашнених тварин і розвитком людства.pptx
 
Prezentacja quo vadis
Prezentacja quo vadisPrezentacja quo vadis
Prezentacja quo vadis
 
Henryk sienkiewicz i jego twórczość
Henryk sienkiewicz i jego twórczośćHenryk sienkiewicz i jego twórczość
Henryk sienkiewicz i jego twórczość
 

Similar to Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych

APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.Tomasz Janas
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIAPwC Polska
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejCyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejMicrosoft Polska
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychMonitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychAgata Maron
 
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychPodatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychstudenckifestiwalinformatyczny
 
Canon - bezpieczeństwo danych
Canon - bezpieczeństwo danychCanon - bezpieczeństwo danych
Canon - bezpieczeństwo danychCanon Biznes
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
 
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...ecommerce poland expo
 
Chmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyChmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyKonwent2015
 
Usługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaUsługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaPwC Polska
 
Sophos S4E_phishing a ochrona poczty elektornicznej_2021
Sophos S4E_phishing a ochrona poczty elektornicznej_2021Sophos S4E_phishing a ochrona poczty elektornicznej_2021
Sophos S4E_phishing a ochrona poczty elektornicznej_2021Marceli Matczak
 
Praktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODOPraktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODOPwC Polska
 
Cała prawda o RODO w praktyce
Cała prawda o RODO w praktyceCała prawda o RODO w praktyce
Cała prawda o RODO w praktycePwC Polska
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwCJerzy Łabuda
 

Similar to Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych (20)

APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 
IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.IT w RODO - praktyczne informacje.
IT w RODO - praktyczne informacje.
 
DPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIADPO Talks - Inspektor Ochrony Danych vs. DPIA
DPO Talks - Inspektor Ochrony Danych vs. DPIA
 
4
44
4
 
Cyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowejCyberbezpieczeństwo w chmurze obliczeniowej
Cyberbezpieczeństwo w chmurze obliczeniowej
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 
Rodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikowRodo bezpieczenstwo _dla_pracownikow
Rodo bezpieczenstwo _dla_pracownikow
 
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych OsobowychMonitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
Monitorowanie systemów IT | Zmiany w Ustawie o Ochronie Danych Osobowych
 
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
[TestWarez 2017] Rozporządzenie Ochrony Danych Osobowych – wyzwanie czy przy...
 
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychPodatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
 
Rodo reakcja na_naruszenia
Rodo reakcja na_naruszeniaRodo reakcja na_naruszenia
Rodo reakcja na_naruszenia
 
Canon - bezpieczeństwo danych
Canon - bezpieczeństwo danychCanon - bezpieczeństwo danych
Canon - bezpieczeństwo danych
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
 
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
III Targi eHandlu: Fundacja Veracity Wszyscy jesteśmy przestępcami! Zderzenie...
 
Chmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracyChmura nie ukradnie Ci pracy
Chmura nie ukradnie Ci pracy
 
Usługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwaUsługi RODO PwC | Incydenty bezpieczeństwa
Usługi RODO PwC | Incydenty bezpieczeństwa
 
Sophos S4E_phishing a ochrona poczty elektornicznej_2021
Sophos S4E_phishing a ochrona poczty elektornicznej_2021Sophos S4E_phishing a ochrona poczty elektornicznej_2021
Sophos S4E_phishing a ochrona poczty elektornicznej_2021
 
Praktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODOPraktyczne aspekty wdrożenia RODO
Praktyczne aspekty wdrożenia RODO
 
Cała prawda o RODO w praktyce
Cała prawda o RODO w praktyceCała prawda o RODO w praktyce
Cała prawda o RODO w praktyce
 
EXATEL InTECH Day PwC
EXATEL InTECH Day PwCEXATEL InTECH Day PwC
EXATEL InTECH Day PwC
 

More from PwC Polska

Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjneJak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjnePwC Polska
 
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023PwC Polska
 
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...PwC Polska
 
Webinar important tax changes in poland from 2022 the polish deal (7.12)
Webinar important tax changes in poland from 2022 the polish deal (7.12)Webinar important tax changes in poland from 2022 the polish deal (7.12)
Webinar important tax changes in poland from 2022 the polish deal (7.12)PwC Polska
 
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwC
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwCWebinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwC
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwCPwC Polska
 
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021)
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021) Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021)
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021) PwC Polska
 
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)PwC Polska
 
07.10.2021 Prezentacja o strefach praktycznie
07.10.2021 Prezentacja o strefach praktycznie07.10.2021 Prezentacja o strefach praktycznie
07.10.2021 Prezentacja o strefach praktyczniePwC Polska
 
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w Polsce
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w PolsceRaportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w Polsce
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w PolscePwC Polska
 
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021PwC Polska
 
Webinar praca-zdalna-30.06.21
Webinar praca-zdalna-30.06.21Webinar praca-zdalna-30.06.21
Webinar praca-zdalna-30.06.21PwC Polska
 
Nowe obowiązki i opłaty środowiskowe 17.06.2021
Nowe obowiązki i opłaty środowiskowe 17.06.2021Nowe obowiązki i opłaty środowiskowe 17.06.2021
Nowe obowiązki i opłaty środowiskowe 17.06.2021PwC Polska
 
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjny
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjnyCo dalej z pakietem VAT e-commerce? Case studies i status legislacyjny
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjnyPwC Polska
 
Automatyzacja raportowania-podatkowego-finansowego
Automatyzacja raportowania-podatkowego-finansowegoAutomatyzacja raportowania-podatkowego-finansowego
Automatyzacja raportowania-podatkowego-finansowegoPwC Polska
 
Wyniki badania build the future 2020
Wyniki badania build the future 2020Wyniki badania build the future 2020
Wyniki badania build the future 2020PwC Polska
 
Webinarium e faktury prezentacja
Webinarium e faktury prezentacjaWebinarium e faktury prezentacja
Webinarium e faktury prezentacjaPwC Polska
 
Restrukturyzacja i upadłość w ramach grupy kapitałowej
Restrukturyzacja i upadłość w ramach grupy kapitałowejRestrukturyzacja i upadłość w ramach grupy kapitałowej
Restrukturyzacja i upadłość w ramach grupy kapitałowejPwC Polska
 
Webinarium Paperless 02.03.2021
Webinarium Paperless 02.03.2021Webinarium Paperless 02.03.2021
Webinarium Paperless 02.03.2021PwC Polska
 
Webinarium E-Commerce Vat package 03.03.21
Webinarium E-Commerce Vat package 03.03.21Webinarium E-Commerce Vat package 03.03.21
Webinarium E-Commerce Vat package 03.03.21PwC Polska
 
Webinarium podatek handlowy - Slim vat 11.02
Webinarium podatek handlowy - Slim vat 11.02Webinarium podatek handlowy - Slim vat 11.02
Webinarium podatek handlowy - Slim vat 11.02PwC Polska
 

More from PwC Polska (20)

Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjneJak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
Jak efektywnie łączyć dotacje i ulgi. Część I - Projekty inwestycyjne
 
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
Konferencja hybrydowa 15.11 - Zmiany podatkowe i prawne 2022-2023
 
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...
Jak zyskać na Polskim Ładzie? Praktyczne aspekty ulg podatkowych obowiązujący...
 
Webinar important tax changes in poland from 2022 the polish deal (7.12)
Webinar important tax changes in poland from 2022 the polish deal (7.12)Webinar important tax changes in poland from 2022 the polish deal (7.12)
Webinar important tax changes in poland from 2022 the polish deal (7.12)
 
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwC
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwCWebinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwC
Webinarium 3 istotne wyzwania pracownicze 15-11-2021 | PwC
 
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021)
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021) Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021)
Konferencja hybrydowa Polski Ład, dzień 1 (11.10.2021)
 
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)
Konferencja hybrydowa Polski Ład, dzień 2.(12.10.2021)
 
07.10.2021 Prezentacja o strefach praktycznie
07.10.2021 Prezentacja o strefach praktycznie07.10.2021 Prezentacja o strefach praktycznie
07.10.2021 Prezentacja o strefach praktycznie
 
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w Polsce
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w PolsceRaportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w Polsce
Raportowanie ESEF. Pierwsze doświadczenia praktyczne spółek w Polsce
 
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021
Podsumowanie konferencji FRN na temat DPSN 2021 z 16.06.2021
 
Webinar praca-zdalna-30.06.21
Webinar praca-zdalna-30.06.21Webinar praca-zdalna-30.06.21
Webinar praca-zdalna-30.06.21
 
Nowe obowiązki i opłaty środowiskowe 17.06.2021
Nowe obowiązki i opłaty środowiskowe 17.06.2021Nowe obowiązki i opłaty środowiskowe 17.06.2021
Nowe obowiązki i opłaty środowiskowe 17.06.2021
 
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjny
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjnyCo dalej z pakietem VAT e-commerce? Case studies i status legislacyjny
Co dalej z pakietem VAT e-commerce? Case studies i status legislacyjny
 
Automatyzacja raportowania-podatkowego-finansowego
Automatyzacja raportowania-podatkowego-finansowegoAutomatyzacja raportowania-podatkowego-finansowego
Automatyzacja raportowania-podatkowego-finansowego
 
Wyniki badania build the future 2020
Wyniki badania build the future 2020Wyniki badania build the future 2020
Wyniki badania build the future 2020
 
Webinarium e faktury prezentacja
Webinarium e faktury prezentacjaWebinarium e faktury prezentacja
Webinarium e faktury prezentacja
 
Restrukturyzacja i upadłość w ramach grupy kapitałowej
Restrukturyzacja i upadłość w ramach grupy kapitałowejRestrukturyzacja i upadłość w ramach grupy kapitałowej
Restrukturyzacja i upadłość w ramach grupy kapitałowej
 
Webinarium Paperless 02.03.2021
Webinarium Paperless 02.03.2021Webinarium Paperless 02.03.2021
Webinarium Paperless 02.03.2021
 
Webinarium E-Commerce Vat package 03.03.21
Webinarium E-Commerce Vat package 03.03.21Webinarium E-Commerce Vat package 03.03.21
Webinarium E-Commerce Vat package 03.03.21
 
Webinarium podatek handlowy - Slim vat 11.02
Webinarium podatek handlowy - Slim vat 11.02Webinarium podatek handlowy - Slim vat 11.02
Webinarium podatek handlowy - Slim vat 11.02
 

Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych

  • 1. DPO Talks: Naruszenia ochrony danych osobowych vs. Inspektor Ochrony Danych Prezentacja PwC 24.01.2019
  • 2. PwC Agenda 1. Naruszenia ochrony danych osobowych: praktyka po 25 maja 2. Naruszenia ochrony danych osobowych: perspektywa cyberbezpieczeństwa 3. Naruszenia ochrony danych osobowych: perspektywa prawna
  • 6. PwC Jak dowiedzieć się o wycieku danych, zanim wszyscy dowiedzą się o nim z Internetu? 6 Security Operations Center Compromise Discovery Breach plan Incident response
  • 7. Security Operations Center (SOC) Ongoing oprations & improvements Incident Detection Anomaly based detection Rule based detection Human reported incidents Alert analysis and triage Incident response and investigations Incident response Internal Investigations Fraud Monitoring Forensic Analysis Response orchestration & automation Attack Surface Management Compliance testing Vulnerability Management Redteaming & Penetration Testing Application security tests Awareness and reporting Digital Brand Protection Social media/Internet monitoring Phishing Analysis Brand Monitoring Platform engineering Platforms operation, troubleshooting and Change Management Security architecture and configuration improvement System integration, assets onboarding Cyber Intelligence and Hunt Team Services Malware and threat analysis Threat intelligence Threat hunting
  • 8. PwC Pytania do SOC w kontekście RODO 8 1. Czy SOC dysponuje scenariuszami nakierowanymi na wykrywanie wycieków danych osobowych? 2. Czy procedury reakcji uwzględniają wymagania RODO w zakresie powiadamiania o wycieku? 3. Czy personel SOC jest przeszkolony w zakresie RODO?
  • 9. PwC Wykrywanie naruszeń / potencjalnych wycieków 9 Breach discovery • Przeszukanie środowiska informatycznego w poszukiwaniu śladów aktywnego lub przeszłego włamania/wycieku danych • Nie wymaga instalacji oprogramowania • Wykonywane jednorazowo lub cyklicznie 5 Threat Hunting 4 Breach Discovery 3 Cyber Crisis Simulation 2 Incident Response Plan 6 Incident Response 1 Cyber risk profile, key threats and critical assets
  • 10. PwC Reakcja na incydent 10 Reakcja na incydent • Załatanie luk bezpieczeństwa • Ustalenie rzeczywistej skali wycieku • Transformacja danych dla celów powiadomień • Wymaga zaplanowania 5 Threat Hunting 4 Breach Discovery 3 Cyber Crisis Simulation 2 Incident Response Plan 6 Incident Response 1 Cyber risk profile, key threats and critical assets
  • 11. PwC Zaplanowanie odpowiedzi na wyciek 11 Przygotowanie planu działania na wypadek wycieku • Zaplanowanie dostępności zasobów (decydenci, prawnicy, PR, IT, IT Security, zasoby zewnętrzne) • Przygotowanie ogólnych schematów/scenariuszy postępowania 5 Threat Hunting 4 Breach Discovery 3 Cyber Crisis Simulation 2 Incident Response Plan 6 Incident Response 1 Cyber risk profile, key threats and critical assets
  • 13. PwC Definicja naruszenia ochrony danych osobowych 13 Art. 4 pkt 12 RODO „Naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem: • Zniszczenia • Utracenia • Zmodyfikowania • Nieuprawnionego ujawnienia lub nieuprawnionego dostępu • Do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych „Zniszczenie” oznacza, że dane już nie istnieją lub przestały istnieć w postaci, w której administrator mógłby je w jakikolwiek sposób wykorzystać Przykłady: • Zalanie serwerowni i dysków twardych na serwerach w wyniku czego doszło do spalenia serwera • Zgranie na pendrive jedynej kopii bazy kontaktów marketingowych i wyrzucenie nośnika do śmieci przy sprzątaniu biurka • Przypadkowe usunięcie danych z jedynej kopii danych „Utracenie” oznacza, że dane mogą nadal istnieć, ale administrator utracił nad nimi kontrolę, nie posiada już do nich dostępu lub nie znajduje się już w ich posiadaniu. Przykłady: • Zgubienie przez pracownika lub kradzież urządzenia, na którym przechowywana jest kopia bazy danych klientów administratora. • Jedyna kopia zbioru danych osobowych została zaszyfrowana wskutek zastosowania oprogramowania typu ransomware, lub sytuacja, w której administrator zaszyfrował dane za pomocą klucza, który nie znajduje się już w jego posiadaniu. • Nieuprawnione ujawnienie lub nieuprawniony dostęp do danych Przykłady: • Ujawnienie (lub udostępnienie) danych osobowych odbiorcom, którzy nie są upoważnieni do ich otrzymania • Przekazanie danych podwykonawcy bez zawartej umowy powierzenia w wyniku błędu pracownika • Wysłanie niezaszyfrowanej wiadomości poza organizację z listą pracowników zgłoszonych do ubezpieczenia zdrowotnego do niewłaściwego adresata
  • 14. PwC Klasyfikacja naruszeń 14 Opinia WP29 03/2014 na temat powiadamiania o przypadkach naruszenia Naruszenie może skutkować wystąpieniem jednej, dwóch lub trzech okoliczności jednocześnie
  • 15. PwC Klasyfikacja naruszeń 15 Przykłady naruszenia poufności danych • Przykład I: Przypadkowe wysłanie danych osobowych klienta do osoby trzeciej. • Przykład II: Pozostawienie niezaszyfrowanego laptopa, telefonu komórkowego lub nośnika zawierającego dane w kawiarni. • Przykład III: Wysłanie wiadomości email do klienta zawierającej adresy email pozostałych klientów w „DW”. Opinia WP29 03/2014 na temat powiadamiania o przypadkach naruszenia Naruszenie poufności – polega na ujawnieniu danych osobowych nieuprawnionej osobie
  • 16. PwC Klasyfikacja naruszeń 16 Przykłady naruszenia dostępności danych • Przykład I: Pracownik przypadkowo, lub osoba nieupoważniona celowo, usuwa dane ze zbioru. ADO próbuje odzyskać dane z kopii zapasowej, jednak jego działania nie przynoszą rezultatu. • Przykład II: Kopia zbioru danych osobowych została zaszyfrowana przez oprogramowanie typu ransomware • Przykład III: Kopia zbioru danych została zaszyfrowana przy użyciu klucza, który nie jest już w posiadaniu ADO • Brak możliwości zalogowania do systemu do przechowywania dokumentacji medycznej w szpitalu przez 8h Opinia WP29 03/2014 na temat powiadamiania o przypadkach naruszenia Naruszenie dostępności – polega na trwałej lub czasowej utracie lub zniszczeniu danych osobowych;
  • 17. PwC Klasyfikacja naruszeń 17 Przykłady naruszenia integralności danych • Przykład I: W wyniku działań nieporządnego oprogramowania w wielu rekordach znajdują błędy w adresach klientów, informacjach o posiadanych produktach (np. bankowych czy ubezpieczeniowych) • Przykład II: Dane dwóch klientów zostały scalone w wyniku błędu systemu. • Przykład III: Pracownik dla żartu zmienia nazwiska klientów poprzez dopisanie litery „s” na końcu każdego z nich. Opinia WP29 03/2014 na temat powiadamiania o przypadkach naruszenia Naruszenie integralności – polega na zmianie treści danych osobowych w sposób nieautoryzowany Źródło: https://www.biznes.gov.pl/pl/firma/sprzedaz-i-marketing/chce-sprzedawac- przez-internet/proc_889-naruszenie-danych-osobowych
  • 18. PwC Stwierdzenie naruszenia 18 Zgłaszanie naruszenia organowi nadzorczemu (art. 33): • Niezwłocznie, nie później niż w ciągu 72h od stwierdzenia naruszenia, chyba, że ryzyko naruszenia praw lub wolności jest mało prawdopodobne • Standard rynkowy: procesor ma 24h na zawiadomienie ADO Kiedy możemy powiedzieć, że naruszenie zostało „stwierdzone”?
  • 19. PwC Stwierdzenie naruszenia 19 Zgłaszanie naruszenia organowi nadzorczemu (art. 33): Wstępna ocena czy mamy do czynienia z danymi osobowymi • osoby zmarłe • brak zautomatyzowanego przetwarzania i brak zbioru danych • osoby prawne 72 h STWIERDZENIE Informacja o możliwości wystąpienia naruszenia (od pracownika, komunikat z anti-APT lub SIEM, od podmiotu przetwarzająceg, informacja od osoby trzeciej) Zebranie informacji z odpowiednich jednostek Ocena zebranych informacji w celu stwierdzenia naruszenia Podjęcie decyzji przez wyznaczoną jednostkę(i) czy doszło do naruszenia. Konsultacje z innymi jednostkami. Ocena ryzyka naruszenia praw i wolności Przygotowanie zgłoszenia Zgłoszenie Co to znaczy, że naruszenie zostało „stwierdzone”?
  • 20. PwC Stwierdzenie naruszenia 20 Przykładowe postanowienie procedury zgłaszania naruszeń: „Zgłoszenia do UODO dokonuje IOD w terminie 72 h od wykrycia naruszenia” Przykładowe postanowienie procedury reakcji na incydenty: „Bieg terminu 72 godzin, o którym mowa w art. 33 RODO, liczony jest od daty wskazanej przez Biuro IOD jako daty stwierdzenia Naruszenia. Za stwierdzenie Naruszenia uznaje się moment, w którym uzyskano wystarczającą ilość informacji, aby jednoznacznie stwierdzić, że doszło do wystąpienia zdarzenia, które skutkowało powstaniem Naruszenia ochrony danych osobowych.”
  • 21. PwC Kiedy zgłaszać naruszenie do organu? 21 Ocenę naruszenia dokonuje się z punktu widzenia ryzyka naruszenia praw lub wolności osób fizycznych. Art. 33 ust. 1 RODO: W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Zawiadamianie podmiotów danych (art. 34): • Jeżeli naruszenie ochrony danych powoduje wysokie ryzyko naruszenia praw i wolności osób fizycznych, • Zawiadomienie powinno jasnym i prostym językiem zawierać te same informacje, co dostarczane organowi nadzorczemu, • Zawiadomienie nie jest konieczne jeżeli: o Wdrożone zostały odpowiednie techniczne i organizacyjne środki ochrony – SZYFROWANIE! o Administrator podjął środki eliminujące prawdopodobieństwo dużego zagrożenia dla praw i wolności osoby, o Wymagałoby ono niewspółmiernie dużego wysiłku – 1.000.000 maili to nie jest duży wysiłek!
  • 22. PwC Kiedy zgłaszać naruszenie do organu? 22 Co brać pod uwagę przy ocenie ryzyka naruszenia praw i wolności? Motyw 76 RODO: Prawdopodobieństwo i powagę ryzyka naruszenia praw lub wolności osoby, której dane dotyczą, należy określić poprzez odniesienie się do charakteru, zakresu, kontekstu i celów przetwarzania danych. Ryzyko należy oszacować na podstawie obiektywnej oceny, w ramach której stwierdza się, czy z operacjami przetwarzania danych wiąże się ryzyko lub wysokie ryzyko. Narzędzie PwC pozwala ocenić ryzyko z uwzględnieniem zarówno powagi, jak i prawdopodobieństwa naruszenia praw lub wolności osób, których dane dotyczą. Zalecenia ENISA dotyczące metodyki oceny ciężar naruszenia ochrony danych osobowych. ENISA czyli: Agencji Unii Europejskiej ds. Bezpieczeństwa Sieci i Informacji
  • 23. PwC Metodyka oceny Ocenę powagi naruszenia przeprowadza się w oparciu o trzy kryteria: 1. Kontekst Przetwarzania Danych (KPD) - KPD stanowi rdzeń metodyki i ocenia krytyczność danego zbioru danych w konkretnym kontekście przetwarzania. 2. Łatwość Identyfikacji (ŁI) jest czynnikiem korygującym KPD. Ogólna krytyczność przetwarzania danych może zostać zmniejszona w zależności od wartości ŁI. Innymi słowy, im niższa łatwość identyfikacji, tym niższa jest ogólna ocena. Dlatego kombinacja ŁI i KPD (poprzez mnożenie) daje początkową ocenę i (OC) naruszenia danych. 3. Okoliczności Naruszenia (ON): ON określa ilościowo konkretne okoliczności naruszenia, które mogą, ale nie muszą występować w danej sytuacji. Gdy okoliczności te występują, ON może zwiększyć ciężar określonego naruszenia. Z tego powodu początkowa ocena może być dodatkowo skorygowana przez DPO. Okoliczności bada się z punktu widzenia utraty poufności, integralności i dostępności danych oraz złej intencji.
  • 24. PwC Metodyka oceny 1. Kontekst Przetwarzania Danych (KPD) a) Dane zwykłe (np. imię i nazwisko, dane kontaktowe (teleadresowe), dane dotyczące wykształcenia, życia rodzinnego, doświadczenia zawodowego itp.) b) Dane behawioralne (np. dane geolokalizacyjne (dane GPS), dane dotyczące osobistych preferencji i nawyków itp.) c) Dane finansowe (np. dane dotyczące dochodu, transakcji finansowych, wyciągi bankowe, inwestycje, karty kredytowe, faktury, dane dotyczące opieki społecznej związane z informacjami finansowymi.) d) Dane wrażliwe (stan zdrowia, przynależność partyjna, dane biometryczne)
  • 25. PwC Metodyka oceny 2. Łatwość Identyfikacji (ŁI) a) Identyfikacja na podstawie danych ograniczona. Identyfikacja jest utrudniona i wymaga zaistnienia dodatkowych okoliczności. Przykład: Nieuprawniony dostęp do adresów email. b) Identyfikacja na podstawie danych ograniczona. Identyfikacja jest utrudniona i może wymagać zaistnienia dodatkowych okoliczności. Przykład: Naruszenie dotyczy danych z formularzy kontaktowych. c) Identyfikacja prawdopodobna. Identyfikacja może być możliwa wyłącznie w oparciu o dane będące przedmiotem naruszenia. Przykład: Nieuprawniony dostęp do nagrania z infolinii. d) Identyfikacja możliwa bezpośrednio na podstawie danych. Dane będące przedmiotem naruszenia w sposób pewny umożliwiają identyfikację osoby. Identyfikacja jest możliwa wyłącznie w oparciu o dane będące przedmiotem naruszenia. Przykład: Wyciek informacji zawartych w umowie.
  • 26. PwC Metodyka oceny 3. Okoliczności Naruszenia a) Utrata poufności danych. Przykład I: Zgubienie plików, nośników podczas transportu. Przykład II: Sprzedaż nośnika zawierającego dane. b) Utrata integralności danych. Przykład I: Dane zostały przypadkowo, nieprawidłowo zmienione, jednak ich pierwotna wersja została zachowana. Przykład I: Dane zostały przypadkowo, nieprawidłowo zmienione, a ich pierwotna wersja nie została zachowana. c) Utrata dostępności danych. Utrata dostępności z możliwością przywrócenia dostępności / Tymczasowa utrata dostępności / Całkowita i nieodwracalna utrata dostępności. d) Zła intencja. Przykład I: Pracownik sprzedaje dane klientów drugiej spółce. Przykład II: Zakład ubezpieczeń stał się ofiarą ataku hakerskiego, w ramach którego doszło do kradzieży danych osobowych klientów.
  • 27. PwC Metodyka oceny 27 Powaga naruszenia uwzględniająca Kontekst przetwarzania, Łatwość identyfikacji i Okoliczności naruszenia, kalkulowana jest zgodnie ze wzorem: Prawdopodobieństwo naruszenia praw lub wolności osób, których dane dotyczą jest oceniane z perspektywy trzech atrybutów bezpieczeństwa danych osobowych (art. 32 RODO): utraty poufności; utraty integralności, utraty dostępności. Skala powagi, będąca wynikiem powyższej kalkulacji (w zależności od zebranych punktów oceny): Niska Średnia Wysoka Bardzo wysoka PO = KPD x ŁI + ON
  • 28. PwC Metodyka oceny 28 Prawdopodobieństwo naruszenia praw lub wolności osób, których dane dotyczą jest oceniane z perspektywy trzech atrybutów bezpieczeństwa danych osobowych (art. 32 RODO): c. utraty dostępności. • Przykład NISKIEGO prawdopodobieństwa: Dane osobowe nie są wykorzystywane do działań Banku, które mogą wywoływać skutki dla podmiotów danych (np. przetwarzanie danych wyłącznie w celach archiwalnych). • Przykład BARDZO WYSOKIEGO prawdopodobieństwa: Przypadek, w którym nie jest możliwe odtworzenie lub ponowne zebranie danych osobowych, które są wykorzystywane w ramach procesów wpływających lub mogących wpływać na sytuację podmiotu danych. Skala prawdopodobieństwa, będąca wynikiem powyższej kalkulacji (w zależności od zebranych punktów oceny): Niska Średnia Wysoka Bardzo wysoka PR = max (UP, UI, UD) W ramach końcowej oceny prawdopodobieństwa (PR) odzwierciedlanej na mapie ryzyka pod uwagę brana jest najwyższa wartość prawdopodobieństwa naruszenia praw lub wolności osób, których dane dotyczą.
  • 29. PwC Metodyka oceny ryzyka naruszenia praw lub wolności 29 Powaga Niska Średnia Wysoka Bardzo wysoka Prawdopodobieństwo Niskie N N N N Średnie N Ś Ś Ś Wysokie N Ś W W Bardzo wysokie N Ś W W
  • 30. PwC 30 Zawiadomienie administratora w sytuacji gdy jesteśmy procesorem. Jak działać?
  • 31. PwC Zgłaszanie naruszenia ochrony danych osobowych organowi od strony formalnej 31 Zgłoszenia naruszenia organowi nadzorczemu (art. 33) można dokonać na cztery sposoby: • Elektronicznie poprzez wysłanie wypełnionego formularza (dostępnego na stronie urzędu) za pomocą pisma ogólnego dostępnego na platformie biznes.gov.pl • Elektronicznie poprzez wysłanie wypełnionego formularza na elektroniczną skrzynkę podawczą ePUAP: /UODO/SkrytkaESP • Elektronicznie poprzez wypełnienie dedykowanego formularza elektronicznego dostępnego bezpośrednio na platformie biznes.gov.pl będącego odwzorowaniem formularza dostępnego w załączniku. • Tradycyjną pocztą wysyłając wypełniony formularz na adres Urzędu. Źródło: https://uodo.gov.pl/pl/134/233 Opisywać charakter naruszenia Zawierać dane kontaktowe osoby, od której można uzyskać więcej informacji o naruszeniu Opisywać możliwe konsekwencje naruszenia Opisywać środki zaradcze Zgłoszenie musi:
  • 32. PwC Zgłaszanie naruszenia ochrony danych osobowych organowi 32 REJESTR NARUSZEŃ – art. 33 ust. 5 RODO Administrator dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym: • okoliczności naruszenia ochrony danych osobowych • jego skutki • podjęte działania zaradcze Dokumentacja ta musi pozwolić organowi nadzorczemu weryfikowanie przestrzegania niniejszego artykułu. Naruszenia ochrony danych wymagające zgłoszenia do UODO - art. 33 Naruszenia ochrony danych wymagające zawiadomienia podmiotów danych – art. 34 Naruszenia ochrony danych wymagające zgłoszenia do UODO - art. 33
  • 33. PwC Dziękujemy za uwagę Szymon Sobczyk Starszy Menedżer Szymon.Sobczyk@pwc.com Arwid Mednis Partner Arwid.Mednis@pwc.com Marian Giersz Adwokat Marian.Giersz@pwc.com© 2019 PwC Advisory spółka z ograniczoną odpowiedzialnością sp.k. (dawniej: PwC Polska sp. z o.o.) Wszystkie prawa zastrzeżone. W tym dokumencie nazwa "PwC" odnosi się do PwC Advisory spółka z ograniczoną odpowiedzialnością sp.k. (dawniej: PwC Polska sp. z o.o.), firmy wchodzącej w skład sieci PricewaterhouseCoopers International Limited, z których każda stanowi odrębny i niezależny podmiot prawny.